Der neue Standard ISO/IEC 27036

Transkript

1 Der neue Standard ISO/IEC Information security for supplier relationships Workshop der GI-FG SECMGT am Bernhard C. Witt (it.sec GmbH & Co. KG)

2 Bernhard C. Witt Berater für Datenschutz und Informationssicherheit bei der it.sec GmbH & Co. KG verantwortlich für die Geschäftsfelder Datenschutz IT Governance, Risk & Compliance Management Industriekaufmann, Diplom-Informatiker geprüfter fachkundiger Datenschutzbeauftragter (UDIS) zertifizierter ISO/IEC Lead Auditor (BSi) CRISC (ISACA) Lehrbeauftragter an der Universität Ulm (seit 2005) Autor der Bücher IT-Sicherheit kompakt und verständlich (2006) und Datenschutz kompakt und verständlich (2008 & 2010) verantwortlich zum Thema Compliance der IT-SICHER- HEITpraxis ( ) Sprecher der GI-Fachgruppe Management von Informationssicherheit (seit 2009) Mitglied im Leitungsgremium des GI-Fachbereichs Sicherheit Schutz und Zuverlässigkeit (seit 2009) Mitglied im DIN-Arbeitsausschuss IT-Sicherheitsverfahren (Normierung zur Informationssicherheit) GI-FG SECMGT it.sec 2

3 it.sec GmbH & Co. KG IT-GRCM steht für IT Governance, Risk & Compliance Management. Hier stehen bei uns Instrumente und Führungsstrukturen des Informationssicherheits-Managements sowie Fragen der tool-gestützten Modellierung von Risikomanagement und Compliance-Anforderungen im Vordergrund, sowie der zielgerichtete Einsatz von technischen und organisatorischen Maßnahmen zur pass- genauen Erfüllung identifizierter Anforderungen. Infrastruktursicherheit & Data Protection it.sec bietet neben den klassischen Infrastrukturthemen auch umfangreiche Dienstleistungen im Bereich der SCADA Sicherheit an, hierzu zählen neben Sicherheitskonzepten auch Leittechnikverträgliche Methoden für Vulnerability Assessments, Infrastruktur-Mappings oder Protokoll-Analysen. Natürlich gehören auch Industrial Firewalls und AAA Systeme zum Portfolio. Penetrationstests, IT-Forensik Assessments & Audits it.sec ist einer der führenden Anbieter von Penetrationstests. Zu unseren Kunden gehören Institutionen aller Branchen, Größen und Sicherheitsstufen, in mehr als einem Dutzend Ländern. Unser Angebot umfasst hierbei Penetrationstests, Sourcecode-Reviews, Design-Reviews sowie forensische Untersuchungen und Beweissicherung. Im Rahmen des PCI DSS Standards führen wir Compliance Penetrationstests durch. Datenschutz wird im deutschen Sprachgebrauch leicht verwechselt mit Datensicherheit. Im Englischen spricht man treffender von Privacy ("Privatheit"), geht es doch beim Datenschutz um den Schutz der verfassungsgemäß garantierten Persönlichkeitsrechte beim Umgang mit personenbezogenen Daten. Dazu zählt neben dem sog. Informationellen Selbstbestimmungsrecht auch das Telekommunikationsgeheimnis. GI-FG SECMGT it.sec 3

4 Zur Mitarbeit in dem DIN Mitarbeit in Arbeitsgremien des Normenausschusses Informationstechnik und Anwendungen (NIA) für jedermann offen Jeder NIA-Arbeitsausschuss entscheidet selbst über seine Zusammensetzung (i.d.r. deshalb zuvor Gästestatus) Für jedes Gremium sind 980 pro Jahr (zzgl. MWSt) zu entrichten Für IT-Sicherheitsverfahren ist der NIA zuständig Spiegelgremium des ISO/IEC JTC 1 / SC 27 Arbeitsausschuss gliedert sich in 5 Arbeitskreise: * AK 01: Information Security Management Systems * AK 02: Cryptography and Security Mechanisms * AK 03: Security Evaluation and Assessment * AK 04: Security Controls and Services * AK 05: Identity Management and Privacy Technologies aktive Mitwirkung gefordert (Gäste ohne Zugriff auf Repository) Beratungen sind nicht-öffentlich Unterlagen sind nur für den Mitarbeiterkreis bestimmt GI-FG SECMGT it.sec 4

5 Vorbemerkungen zum ISO/IEC (1) Sämtliche Teile sind noch auf dem Stand sog. Working Drafts (WD), d.h., sie unterliegen noch einer starken Überarbeitung durch Experten ( selbst Überschriften noch änderbar!) Unter Umständen können Entwürfe auf dieser Ebene sogar komplett zurückgezogen oder Scope und Aufteilung massiv verändert werden Andererseits ist das ein guter Zeitpunkt, um Einfluss auf einen derartigen Standard auszuüben ;-) Ursprünglich hatte Deutschland (also das DIN) gegen diesen Standard gestimmt (aufgrund der unklaren Zielsetzung des ursprünglichen Scope-Entwurfs) Fachlich zuständiger AK 04 innerhalb des DIN erst seit August 2011 mit noch (!) sehr wenig Mitarbeitern gegründet Bisher (!) fühlt sich innerhalb des AK 04 keiner für diesen Standard zuständig ( Gestaltungsmöglichkeit!) Die Darstellungen im Folgenden beziehen sich jeweils auf den 1st WD (2nd WDs gerade in Arbeit!) GI-FG SECMGT it.sec 5

6 Vorbemerkungen zum ISO/IEC (2) Bisherige Entwicklung (1): 2008: New Work Item Proposal (NWIP) Security of Outsourcing als single International Standard mit folgender Motivation: This International Standard will define guidance to organizations on the evaluation of security risks involved in the procurement and use of outsourced services. Die Controls aus den Sections 6.2 (External parties) und 10.2 (Third party service delivery management) der ISO/IEC reichen hierfür nicht aus. 2009: NWIP angenommen mit Titel Guidelines for security of outsourcing (als International Standard, kein Technical Report) Fokus weiterhin auf die Sichtweise des Acquirer, also des Beziehers eines outgesourcten Services, welche wiederum verstanden werden können als * Outsourcing zur Informations- und Kommunikationstechnik (ICT) * Outsourcing von (kompletten) Geschäftsprozessen, operativen Tätigkeiten oder spezieller ICT-Funktionen GI-FG SECMGT it.sec 6

7 Vorbemerkungen zum ISO/IEC (3) Bisherige Entwicklung (2): 2010: nach 3rd WD gesplittet in multi-part International Standard Information security for supplier relationships * Part 1: Overview and concepts * Part 2: Generic requirements [wird ggf. noch modifiziert] * Part 3: Information and communication technology supply chain risk management * Part 4: Guidelines for security of outsourcing [bisher ohne WD!] * geplanter Part 5 zu Cloud Computing vermutlich zugunsten der ISO/IEC (Guidelines on information security controls for the use of cloud computing services based on ISO/IEC 27002) hinfällig Fokus erweitert sowohl auf Produkte und Services als auch auf die Sicht des Supplier, der Produkte und/oder Services anbietet gesamter Prozess des Outsourcings nunmehr im Blick International Standard liefert Vorgehensmodell 2011: 2nd WD zu Part 1 3 wird erstellt (mit starken Änderungen) GI-FG SECMGT it.sec 7

8 Vorbemerkungen zum ISO/IEC (4) Grundsätzlicher Ansatz der ISO/IEC (1) Acquirer möchte Produkt oder Service von Supplier beziehen Acquirer verwendet ggf. Produkt oder Service für seine Kunden Supplier nutzt ggf. zur Bereitstellung eigene (!) Supplier Supplier benötigt für Bereitstellung Informationen / Zugänge des Acquirer Acquirer liefert Informationen (inkl. seiner Anforderungen!) / Zugänge, sofern er davon überzeugt ist, dass beim Supplier ein ausreichendes Sicherheitsniveau besteht bzw. sein eigenes Sicherheitsniveau nicht gefährdet ist (risikobasierter Ansatz) Supplier liefert erforderliche Daten über sein Sicherheitsniveau Acquirer bezieht daraufhin Produkt oder Service von Supplier und gewährt den benötigten Zugang Acquirer und Supplier haben auszuhandeln: 1. Welche Informationen über Sicherheitsniveau sind nötig? 2. Welche Kontrollrechte sind für Acquirer erforderlich? 3. Ab wann besteht ein ausreichendes Vertrauen? GI-FG SECMGT it.sec 8

9 Vorbemerkungen zum ISO/IEC (5) Grundsätzlicher Ansatz der ISO/IEC (2): Orientierung an der Reihe ISO/IEC 270xx erleichtert das Verständnis über die zu treffenden Vereinbarungen Der Internationale Standard unterstützt ein Vorgehen nach der ISO/IEC und konkretisiert hierbei Outsourcing-spezifische Punkte (Ergänzung zur ISO/IEC 27002) Betrachtung der Besonderheiten für ICT Supply Chain Risk Management (also unter Einbeziehung von Unteraufträgen) Internationaler Standard liefert Leitfaden zu Einrichtung, Durchführung, Überwachung und Verbesserung der bestehenden Beziehung und der damit verbundenen Informationssicherheit Dabei werden alle Phasen / Prozesse, die im Zusammenhang mit Outsourcing relevant sind, behandelt und die im Einzelnen durchzuführenden Aktivitäten benannt Derzeit (!) liefert der Internationale Standard NICHT eine zertifizierbare Grundlage, die etwaige Audits von Acquirer überflüssig macht GI-FG SECMGT it.sec 9

10 ISO/IEC WD (1) GI-FG SECMGT it.sec 10

11 ISO/IEC WD (2) Neufassung GI-FG SECMGT it.sec 11

12 ISO/IEC WD (3) Scope wird deutlich geändert (spezifischer!) GI-FG SECMGT it.sec 12

13 ISO/IEC WD (1) GI-FG SECMGT it.sec 13

14 ISO/IEC WD (2) Neuer Absatz GI-FG SECMGT it.sec 14

15 ISO/IEC WD (3) Ggf. sowohl generic als auch requirements in Überarbeitung! GI-FG SECMGT it.sec 15

16 ISO/IEC WD (4) Beispiel zu Requirements (informativ) GI-FG SECMGT it.sec 16

17 ISO/IEC WD (1) GI-FG SECMGT it.sec 17

18 ISO/IEC WD (2) GI-FG SECMGT it.sec 18

19 ISO/IEC WD (3) GI-FG SECMGT it.sec 19

20 ISO/IEC WD (4) GI-FG SECMGT it.sec 20

21 ISO/IEC WD (5) GI-FG SECMGT it.sec 21

22 it.sec GmbH & Co. KG Einsteinstr. 55 D Ulm USt Id Nr.: DE Steuernummer: 88012/53709 Amtsgericht Ulm: HRA 3129 vertreten durch den Geschäftsführer Dipl. Ing. (FH) Holger Heimann Haftender Komplementär: it.sec Verwaltungs GmbH Amtsgericht Ulm: HRB 4593 Einsteinstr. 55 D Ulm GI-FG SECMGT it.sec 22